Was ist der "Ziegelstein", in den sich Gadgets manchmal verwandeln, wissen viele Geeks aus erster Hand. Wir sprechen von Geräten, die gut funktionieren und sich plötzlich einfach nicht mehr einschalten und keine Lebenszeichen zeigen. Ein solches bedauerliches Ergebnis kann beispielsweise eine nicht erfolgreiche Firmware des Geräts, Probleme mit der Software des Gadgets oder Malware sein. Die Spezialisten für Informationssicherheit von Radware haben kürzlich eine Malware entdeckt, die anfällige intelligente Geräte in Bausteine verwandelt. Forscher sagen, dass das Angreifen von Gadgets ein bösartiges Programm ist, das am 20. März dieses Jahres begann.
Es geht um BrickerBot, ein Schadprogramm, das in zwei Inkarnationen gleichzeitig existiert. Der erste ist BricketBot.1, der zweite BricketBot2. Beide Softwareversionen greifen nur die Systeme an, die unter Linux BusyBox ausgeführt werden. In nur vier Tagen des letzten Monats verzeichneten Radware-Mitarbeiter 2.250 PDoS-Angriffe (Permanent Denial of Service, „Permanent Denial of Service“) gegen einen speziell entwickelten Haken, der sich kunstvoll als IoT-Gerät ausgab.
Wie sich herausstellte, kamen die Angriffe von verschiedenen Knoten auf der ganzen Welt. BrickerBot.1 verstummte nach einer bestimmten Anzahl von Angriffen, aber BrickerBot.2 erwies sich als aktiver. Er versuchte mehrere Tage lang, etwa alle zwei Stunden die „Lockvogel“ -Geräte anzugreifen. Die Malware greift schlecht geschützte IoT-Systeme über Telnet an und verwandelt sie wirklich in einen "Baustein". BrickerBot wählt die Gadgets aus, auf die über Standard-Login- / Passwort-Links zugegriffen werden kann. Es ist immer noch unklar, wie genau der Angriff erfolgt und warum die Malware versucht, verschiedene Gadgets zu deaktivieren.
In der ersten Phase des Angriffs verhält sich BrickerBot genauso wie andere IoT-Malware, einschließlich Mirai. Auf Telnet gibt es eine Bruteforce mit der Auswahl des Zugriffs auf die Verwaltungsfunktionen des gefährdeten Geräts. Laut Experten, die BrickerBot entdeckt haben, enthält sein Code die beliebtesten Login / Passwort-Kombinationen für das Admin-Panel einer Vielzahl von Gerätemodellen.
Wenn der Angriff erfolgreich ist und Malware Zugriff auf das System erhält, werden Versuche gestartet, das angegriffene Gadget zu deaktivieren. Zu diesem Zweck verwendet die Malware verschiedene Methoden. Zwei Versionen von BrickerBot haben unterschiedliche Methoden. Aber sie haben ein Ziel - das Gerät in einen "Ziegelstein" zu verwandeln.
Unter anderen Methoden zum Arbeiten mit anfälligen Gadgets wird beispielsweise das Überschreiben von Daten auf Gerätelaufwerken verwendet. Außerdem wird net.ipv4.tcp_timestamps = 0 festgelegt. Danach kann das IoT-Gadget keine Verbindung zum Internet herstellen. Eine andere Malware versucht, den Wert kernel.threads-max = 1 anstelle des Standards 10.000 festzulegen. Dies führt dazu, dass ARM-basierte Gadgets einfach fehlschlagen, weil Kernel-Vorgänge gestoppt werden.
Experten weisen darauf hin, dass ein kompromittiertes Gerät einige Sekunden nach der Infektion nicht mehr funktioniert. Interessanterweise greift BrickerBot.1 IoT-Geräte von verschiedenen IP-Adressen auf der ganzen Welt an, wie bereits erwähnt. Die zweite Version des Botnetzes funktioniert jedoch über die Elemente des Tor-Netzwerks, sodass es sehr schwierig ist, den Betrieb dieser Software zu verfolgen, wenn dies überhaupt möglich ist.
Ein ungewöhnlicher Unterschied zwischen dieser Malware und anderen besteht darin, dass nicht versucht wird, die angegriffenen Geräte mit dem Botnetz zu verbinden. In der Tat ist das Verwöhnen von IoT-Gadgets das einzige sichtbare Ziel von BrickerBot. Experten schlagen vor, dass die Schöpfer des Bots Hacker sein könnten, die mit der mangelnden Aufmerksamkeit für das Problem der Cybersicherheit unzufrieden sind und beschlossen haben, unachtsamen Besitzern Unterricht zu erteilen.
Vielleicht wird diese Malware wirklich mehr Aufmerksamkeit auf dieses Problem lenken als die üblichen Worte über die Notwendigkeit, vorsichtig zu sein und das Konto nach dem Kauf eines Netzwerkgeräts im Geschäft zu ändern. Trotzdem kann diese Methode des "Erlernens der Grundlagen der Informationssicherheit" einfach gefährlich sein. Beispielsweise kann eine solche Software viele Überwachungskameras deaktivieren, die einen guten Zweck erfüllen. Infolgedessen können dieselben Überwachungskameras, die an einem bestimmten Punkt die Reihenfolge auf den Straßen von Städten überwachen, nicht mehr funktionieren.
„Stellen Sie sich vor, die Überwachungskamera in der Botschaft ist ausgeschaltet. Wie lohnt es sich zu überlegen - als Akt der Aggression gegen einen Staat? Solche Angriffe sind sehr einfach durchzuführen, ich glaube, dass dies nur der Anfang ist. Ich möchte nicht sagen, dass dies schlecht ist, aber ich denke, es gibt weniger destruktive Wege, um dasselbe Ziel zu erreichen. Sie können beispielsweise einfach Geräteschwachstellen beheben. Das erfordert jedoch mehr Professionalität “, sagte Victor Gevers, Leiter von GDI.foundation.
Darüber hinaus bat er die Malware-Autoren, sich mit ihm in Verbindung zu setzen, um einige Maßnahmen zur Korrektur der aktuellen Situation zu planen und Möglichkeiten zu entwickeln, um unsichere IoT-Geräte vor Angriffen zu schützen und gleichzeitig ihre Probleme zu beheben.